全球PhaaS激增：17,500个钓鱼域名针对74个国家的316个品牌

Lucid PhaaS平台使客户能够大规模发起钓鱼攻击活动，目标涵盖多个行业，包括收费公司、政府部门、邮政公司和金融机构。

这些攻击还融入了多种标准——例如要求特定的移动用户代理、代理国家或欺诈者配置的路径——以确保只有预定目标能够访问钓鱼URL。如果目标之外的用户最终访问了该URL，他们会看到一个通用的虚假店面。

Netcraft表示，通过Lucid平台托管的、针对63个不同国家的164个品牌的钓鱼URL，他们共检测到了。灯塔钓鱼URL已针对50个不同国家的204个品牌。

Lighthouse与Lucid类似，提供模板定制和实时受害者监控功能，并宣称能够为全球200多个平台创建钓鱼模板，这表明这两个钓鱼即服务（PhaaS）工具包存在显著的重叠之处。Lighthouse的价格从每周88美元到每年1588美元不等。

“虽然Lighthouse独立于欣欣集团运营，但它在基础设施和目标模式方面与Lucid的一致性，凸显了PhaaS生态系统内合作与创新的更广泛趋势，”PRODAFT在4月时指出。

利用Lighthouse开展的钓鱼活动使用了模仿阿尔巴尼亚邮政服务Posta Shqiptare的URL，同时向非目标用户展示相同的虚假购物网站，这表明Lucid和Lighthouse之间可能存在关联。

“Lucid和Lighthouse是这些平台发展和演变速度之快，以及有时难以被颠覆的例证，”Netcraft研究员哈里·埃弗雷特表示。

这一进展公布之际，这家总部位于伦敦的公司透露，钓鱼攻击正逐渐放弃像Telegram这样的通信渠道来传输窃取的数据，这表明该平台可能不再被视为网络犯罪分子的避风港。

取而代之的是，威胁行为者正重新将电子邮件作为获取被盗凭证的渠道，Netcraft发现其在一个月内增长了25%。研究还发现，网络犯罪分子会利用EmailJS等服务来获取受害者的登录信息和双因素认证（2FA）代码，从而完全无需自行托管基础设施。

“这种死灰复燃的部分原因在于电子邮件的联邦性质，这使得下架操作更加困难，”安全研究员佩恩·麦金托什表示。“每个地址或SMTP中继都必须单独举报，这与Discord或Telegram等中心化平台不同。而且这也与便利性有关。创建一个一次性电子邮件地址仍然快捷、匿名，且几乎免费。”

研究结果还发现，新出现的一些相似域名利用日语平假名“ん”来实施同形异义字攻击，使虚假网站的URL看起来与合法网站的URL几乎一致。在针对加密货币用户的攻击中，已发现不少于600个采用这种技术的虚假域名，最早的记录可追溯至2024年11月25日。

这些页面冒充Chrome网上应用店中的合法浏览器扩展程序，欺骗毫无防备的用户安装伪造的Phantom、Rabby、OKX、Coinbase、MetaMask、Exodus、PancakeSwap、Bitget和Trust钱包应用，这些伪造应用旨在获取系统信息或窃取助记词，使攻击者能够完全控制用户的钱包。

“乍一看，它的意图是看起来像一个正斜杠‘/’，”Netcraft表示。“当它被放入域名中时，很容易看出它会多么具有迷惑性。这种微小的替换足以让钓鱼网站的域名看起来像真的一样，而这正是威胁分子试图窃取登录信息和个人信息或分发恶意软件的目的。”

近几个月来，诈骗活动还利用达美航空、AMC影院、环球影业和史诗唱片等美国公司的品牌身份，诱骗人们参与一些骗局，这些骗局声称人们可以通过完成一系列任务（例如担任机票预订代理）来赚钱。

这里的陷阱在于，为了做到这一点，潜在受害者被要求向自己的账户存入至少价值100美元的加密货币，这让威胁者得以获取非法利润。

Netcraft研究员罗布·邓肯表示：“这起任务诈骗‘表明，投机分子正如何利用应用程序编程接口（API）驱动的品牌仿冒模板，在多个行业扩大以经济利益为目的的欺诈活动。’”